In letzter Zeit sind mehrfach Internetseiten und Online-Shop-Betreiber mit einer Abmahnung
konfrontiert worden, weil sie angeblich Verbraucher und Besucher ihrer Seiten nicht rechtswirksam
auf die Nutzung von Cookies und Tracking aufmerksam gemacht hätten und keine rechtswirksame
Einwilligung durch die Nutzer erfolgt wäre.

Das soll einen Verstoß gegen die DSGVO darstellen. Bei
dieser Abmahnung aufgrund von Verstößen gegen die DSGVO wird unter anderem auf die jüngste
Entscheidung des EuGH zum Thema Cookies und Tracking verwiesen (EuGH,Urteil v.
1.10.2019,AZ.:C-673/17, in der Sache gegen “Planet49” als Betreiber einer Gewinnspiel-Seite).
Zusammen mit der Abmahnung wird dann eine Schadensersatzforderung begründet.

Richtig ist zwar, dass der EuGH in seiner Entscheidung ausgeurteilt hat, dass eine voreingestellte
Einwilligung selbst dann nicht ausreicht, wenn diese durch das Anklicken eines “OK-Buttons” oder
-Kästchens explizit bestätigt wird. Dass ein bereits voreingestelltes “Ja” nicht ausreicht, ist
somit eindeutig. Der EuGH fordert mithin ausdrücklich, dass eine Einwilligung willentlich extra
erfolgen muss, nachdem auch eine ausführliche Information über die Nutzung von Cookies und
Tracking erfolgt ist. Außerdem muss dafür ein Extra Fenster / Pop-up genutzt werden, das dem
Nutzer auffällt. Gleichzeitig darf aber keine so dominante Darstellung erfolgen, dass der Nutzer
sich quasi genötigt sieht, einzuwilligen, wenn er die Seite weiter nutzen will. Ganz klar ist
außerdem nicht, ob eine Einwilligung zu technisch unbedingt erforderlichen Cookies und Tracking
erforderlich ist. Der EuGH tendiert wohl in diese Richtung. Marketing- und Analyse- Cookies werden
wohl als nicht erforderlich und somit immer einwilligungspflichtig (Pflicht-Opt-in) angesehen. Auf
jeden Fall ist aber immer zu prüfen, welchen Charakter die eingesetzten Cookies haben, also ob
diese technischer Natur sind und damit unbedingt erforderlich oder ob es sich um (entbehrliche)
Cookies handelt, die nur Marketing- und Analysezwecken dienen. Ob die eingesetzten Cookies
Gegenstand einer Abmahnung sein können, ist zu prüfen.

In der Abmahnung wird den abgemahnten Seitenbetreibern unter anderem vorgehalten, diese hätten die
Nutzer nicht (oder nicht ausreichend) über die Weitergabe der Daten an Dritte für Werbezecke und
gesetzliche Löschfristen informiert.

‘Bei einer Abmahnung ist aber auch nach der EuGH-Entscheidung gar nicht klar, ob überhaupt ein
Verstoß bei Ihnen vorliegt und ob der in Anspruch gebrachte zivilrechtliche Schadensersatz
überhaupt zulässig ist. Zumindest auch in der Höhe scheinen die dort bezifferten Forderungen auf
jeden Fall zu hoch und unangemessen zu sein. Auch einen Unterlassungsanspruch kennt die DSGVO in der
Form gar nicht. Grundsätzlich sollte weiterhin auch der Einzelfall genau geprüft werden – auch
nach der EuGH-Entscheidung! Es kann sich für Sie also auf jeden Fall lohnen, eine Abmahnung nicht
einfach so hinzunehmen, sondern sich dagegen zur Wehr zu setzen und unseren Rat und unsere Hilfe in
Anspruch zu nehmen!

Wir helfen Ihnen gern, wenn Sie wegen dieser rechtlichen Problematik mit einer Abmahnung
konfrontiert werden. Nehmen Sie am besten gleich Kontakt mit uns auf und lassen Sie sich
vertrauensvoll beraten. Wenn Sie nähere Informationen zur Entscheidung des EuGH zur Rechtsfrage
nachlesen wollen, finden Sie zum Beispiel unter dem Link https://openjur.de/u/2180608.html eine
ausführliche Darstellung der Rechtslage, des Urteils und der möglichen Folgen.



Der externe Datenschutzbeauftragte übernimmt die Vertretung gemäß Datenschutzrecht. In vielen Firmen und Unternehmen ist dieser gesetzlich vorgeschrieben. Dies betrifft Unternehmungen die personenbezogene Daten verarbeiten. In der Regel trifft dies für die Mehrzahl an Unternehmen in Deutschland zu. Wichtig ist hierbei das mindestens zehn Mitarbeiter in der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Grundsätzlich empfiehlt in jedem Falle eine Sicht von außen. Den auch wenn Sie keinen Datenschutzbeauftragten benötigen, heißt dies nicht, dass Sie von den Datenschutzvorschriften entbunden sind.

Der externe Datenschutzbeauftrage regelt die Aufgaben in Artikel 39 der Datenschutzgrundverordnung, kurz DSVGO. Hierzu zählen:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach DSVGO sowie nach sonstigen Datenvorschriften der Union und deren Mitgliedstaaten
  • Überwachung der Einhaltung der Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Veranwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitern und der diesbezüglichen Überprüfungen
  • Beratung auf Anfrage im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
  • Zusammenarbeit mit der Aufsichtsbehörde / Datenschutzaufsichtbehörde
  • Tätigkeit als Anlaufstelle für Aufsichtsbehörde in mit der Verarbeitung zusammhängenden Fragen, einschließlich der vorherigen Konusltation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem Verarbeitungsvorgängen verbundene Risiko Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Diese Aufgaben kann ein interner oder externer Datenschutzbeauftragte übernehmen. Bei einem externen Datenschutzbeauftragten wird in der Regel ein Dienstleistungsvertrag geschlossen.
Sicherlich ist es für kleine und mittlere Unternehmen (KMU) besonders schwierig einen Mitarbeiter zu finden der nach Treu und Glauben im eigenen Unternehmen die Datenschutzrichtlinien ohne Interessenskonflikt lösen kann. Den ab nun muss er eigene Mitarbeiter überwachen und veranlassen, dass bestimmte Tätigkeiten und Prozesse abgeändert werden oder unterlassen werden. In der Regel macht er sich hier keine Freunde. Ein weiterer Punkt ist der zeitliche Aspekt. Fortbildung steht quasi an der Tagesordnung. In der Regel hat der Mitarbeiter jedoch eine andere ihm zugeordnete Aufgabe im Unternehmen. Hinzukommt das der beauftragte Mitarbeiter einen gewissen Kündigungsschutz genießt.

Die Lösung der vorangestellten Probleme ist ein externer Datenschutzbeauftragter (DSB). Als externer Berater und Dienstleister kümmert er sich um den Datenschutz im Unternehmen und fällt auch schon mal unpopuläre Entscheidungen. Die Praxis rät normalerweise eine Laufzeit von zwei Jahren festzulegen, damit beide Seiten in Ruhe arbeiten können.
Die Kosten für den externen Datenschutzbeauftragten sind von Dienstleister zu Dienstleister unterschiedlich. Bei Datenschutzservice von DL wird grundsätzlich und Transparent ein Stundensatz von 135.00 Euro/netto zu Grunde gelegt. Unternehmen mit Fragen zu bestimmten Daten nutzen am besten die CRM-Beratung

Weitere Informationen zur Beratung externer Datenschutzbeauftragten